【文章內(nèi)容簡(jiǎn)介】 方子系統(tǒng)到企業(yè)一卡通系統(tǒng)的應(yīng)用接口?；趹?yīng)用網(wǎng)關(guān)的企業(yè)一卡通網(wǎng)絡(luò)結(jié)構(gòu)示意圖如下。應(yīng)用網(wǎng)關(guān)的作用是邏輯隔離兩個(gè)網(wǎng)段，通過(guò)應(yīng)用軟件提供兩個(gè)網(wǎng)段之間的數(shù)據(jù)傳遞。因?yàn)閼?yīng)用網(wǎng)關(guān)采用的是基于應(yīng)用層的連接，所以網(wǎng)段之間的數(shù)據(jù)包不能直接傳遞，必須經(jīng)過(guò)應(yīng)用軟件的處理—解包、分析處理和重新打包。應(yīng)用網(wǎng)關(guān)對(duì)數(shù)據(jù)包的類(lèi)型、格式、內(nèi)容有明確的要求，所有不符合要求的數(shù)據(jù)包將不會(huì)被傳遞（包括Internet訪問(wèn)數(shù)據(jù)包）。結(jié)果，應(yīng)用網(wǎng)關(guān)從應(yīng)用層邏輯隔離了兩個(gè)網(wǎng)段，提高了網(wǎng)絡(luò)的安全性。傳統(tǒng)的邏輯隔離網(wǎng)段的方式（如VLAN），網(wǎng)段之間的通訊是基于路由轉(zhuǎn)發(fā)的原理。網(wǎng)段之間只能通過(guò)路由設(shè)置、訪問(wèn)控制列表、防火墻、入侵檢測(cè)等手段來(lái)提高網(wǎng)絡(luò)的安全性。這些網(wǎng)絡(luò)層的安全手段只能根據(jù)數(shù)據(jù)包的地址信息、行為特征設(shè)置安全策略，不涉及到數(shù)據(jù)包的內(nèi)容，在安全級(jí)別上低于應(yīng)用網(wǎng)關(guān)的方式。 硬件實(shí)體的安全設(shè)計(jì)216。 傳輸?shù)臄?shù)據(jù)采用加密形式，保護(hù)敏感信息。防止非法截取，破譯。216。 采用金融安全處理器為核心器件的加密卡，存儲(chǔ)密鑰等信息。216。 數(shù)據(jù)中心的建設(shè)：數(shù)據(jù)中心機(jī)房應(yīng)設(shè)立在防水、防火、防盜的場(chǎng)所，環(huán)境溫度濕度穩(wěn)定，清潔。216。 系統(tǒng)運(yùn)行與管理需要建立嚴(yán)格的規(guī)章制度，機(jī)房的管理人員必須嚴(yán)格按照操作手冊(cè)和運(yùn)行規(guī)范來(lái)進(jìn)行日常的操作，數(shù)據(jù)備份，系統(tǒng)檢測(cè)。 中心主機(jī)系統(tǒng)安全設(shè)計(jì)操作系統(tǒng)方面216。 數(shù)據(jù)的存儲(chǔ)和訪問(wèn)控制：專(zhuān)用服務(wù)器系統(tǒng)的安全等級(jí)達(dá)到C2級(jí)，從根本上保障數(shù)據(jù)的安全。216。 從用戶(hù)和文件的訪問(wèn)控制：專(zhuān)用服務(wù)器系統(tǒng)是一個(gè)真正的多用戶(hù)操作系統(tǒng)，它在用戶(hù)控制和文件訪問(wèn)控制方面的獨(dú)到之處是被業(yè)內(nèi)人士所公認(rèn)。216。 病毒方面的防患：專(zhuān)用服務(wù)器操作系統(tǒng)裝備專(zhuān)業(yè)防火墻和殺毒軟件，保證系統(tǒng)具有很高的防病毒能力。數(shù)據(jù)庫(kù)系統(tǒng)方面216。 數(shù)據(jù)庫(kù)的訪問(wèn)控制：訪問(wèn)控制共有三種—主機(jī)操作系統(tǒng)驗(yàn)證、網(wǎng)絡(luò)驗(yàn)證、數(shù)據(jù)庫(kù)驗(yàn)證。216。 數(shù)據(jù)庫(kù)模型設(shè)計(jì)方面：設(shè)計(jì)數(shù)據(jù)庫(kù)表時(shí)將重要數(shù)據(jù)同普通數(shù)據(jù)存放在不同的表中；重要的數(shù)據(jù)庫(kù)表使用電子簽名（防止數(shù)據(jù)庫(kù)管理員有意篡改數(shù)據(jù)）；建立必要的視圖，以隔離一些重要數(shù)據(jù)；設(shè)計(jì)必要的日志跟蹤。216。 用戶(hù)對(duì)數(shù)據(jù)庫(kù)對(duì)象的訪問(wèn)權(quán)限控制：通過(guò)SQL自帶的安全控制訪問(wèn)機(jī)制，實(shí)現(xiàn)按需權(quán)限控制，根據(jù)不同的訪問(wèn)用戶(hù)設(shè)置不同的查詢(xún)?cè)L問(wèn)權(quán)限。數(shù)據(jù)庫(kù)備份控制：數(shù)據(jù)庫(kù)提供多種數(shù)據(jù)備份方式，尤其是在線(xiàn)數(shù)據(jù)備份可保證系統(tǒng)7*24小時(shí)的運(yùn)行；可靠支持機(jī)制可實(shí)現(xiàn)數(shù)據(jù)庫(kù)系統(tǒng)的快速災(zāi)難恢復(fù)，確保數(shù)據(jù)的絕對(duì)可靠。 應(yīng)用系統(tǒng)安全設(shè)計(jì)216。 應(yīng)用軟件組件安全管理a) 我司一卡通系統(tǒng)的應(yīng)用程序軟件安裝在應(yīng)用程序服務(wù)器上，在技術(shù)上是一種MTS/COM+的三層結(jié)構(gòu)，終端訪問(wèn)數(shù)據(jù)庫(kù)服務(wù)器的時(shí)候，必須要經(jīng)過(guò)應(yīng)用程序軟件這個(gè)中間件，所以應(yīng)用程序軟件與數(shù)據(jù)庫(kù)的用戶(hù)權(quán)限管理是不一樣的。MTS/COM+安全是與WINDOWS NT/WINDOWS 2000和DCOM安全集成在一起的。b) 角色（roles）是MTS/COM+安全模型的核心。角色是一個(gè)抽象定義邏輯上的一組用戶(hù)。在MTS/COM+中可以控制那些角色對(duì)那些組件（或者是組件中的特定接口、方法）擁有訪問(wèn)的權(quán)限。 216。 系統(tǒng)用戶(hù)權(quán)限管理 c) 系統(tǒng)應(yīng)使用一套與服務(wù)器數(shù)據(jù)庫(kù)不同的用戶(hù)權(quán)限管理系統(tǒng)，在用戶(hù)管理、權(quán)限分級(jí)、程序資源、操作權(quán)限分配、登錄控制、身份驗(yàn)證、密碼控制、日志跟蹤等方面設(shè)計(jì)了一套嚴(yán)密的安全保障機(jī)制。 216。 應(yīng)用系統(tǒng)原則上只保留自已私有的數(shù)據(jù)，重要數(shù)據(jù)均存放于數(shù)據(jù)中心，從而實(shí)現(xiàn)應(yīng)用與數(shù)據(jù)處理分離，使得應(yīng)用系統(tǒng)安全可靠，例如在一卡通系統(tǒng)中涉及到很多的敏感數(shù)據(jù)，包括金融數(shù)據(jù)、單位密碼、用戶(hù)卡個(gè)人密碼、系統(tǒng)操作員密碼等，這些都需要嚴(yán)格保密的。在數(shù)據(jù)庫(kù)的存儲(chǔ)中，本系統(tǒng)采用密文形式進(jìn)行保存。在數(shù)據(jù)加密方案中，本系統(tǒng)采用國(guó)際通用的DES算法。216。 采用“事權(quán)分離”機(jī)制設(shè)計(jì)應(yīng)用系統(tǒng)，用戶(hù)管理、權(quán)限分級(jí)、程序資源、操作權(quán)限分配等方面設(shè)計(jì)嚴(yán)密的機(jī)制。216。 操作員登錄控制：操作員卡驗(yàn)證身份，密碼控制。216。 所有操作日志跟蹤，追溯責(zé)任人。 銀行轉(zhuǎn)帳安全設(shè)計(jì)企業(yè)一卡通系統(tǒng)采用設(shè)立銀行轉(zhuǎn)帳前置機(jī)的方式，通過(guò)雙網(wǎng)卡隔離兩個(gè)邏輯網(wǎng)段，杜絕企業(yè)網(wǎng)內(nèi)部對(duì)銀行網(wǎng)絡(luò)的訪問(wèn)，僅銀行轉(zhuǎn)帳前置機(jī)可以訪問(wèn)銀行網(wǎng)絡(luò)。支持金融數(shù)據(jù)加密機(jī)和網(wǎng)絡(luò)加密機(jī)。路由器+防火墻硬件保障銀行端采用路由器加防加火墻的硬件保障機(jī)制。通過(guò)防火墻可以過(guò)濾掉不安全的數(shù)據(jù)包，控制用戶(hù)對(duì)系統(tǒng)的訪問(wèn)，實(shí)現(xiàn)集中的安全管理。在路由器上設(shè)置訪問(wèn)控制列表來(lái)過(guò)濾不符合應(yīng)用需要的報(bào)文：216。 在路由器的訪問(wèn)控制列表上僅配置與之相連的網(wǎng)卡能夠收和發(fā)IP數(shù)據(jù)包。216。 禁止TCP以外的任何服務(wù)。216。 過(guò)濾除指定端口以外的報(bào)文。數(shù)據(jù)傳輸?shù)陌踩胧┢髽I(yè)轉(zhuǎn)帳前置機(jī)與銀行前置機(jī)之間數(shù)據(jù)采用金融業(yè)標(biāo)準(zhǔn)的MAC校驗(yàn)運(yùn)算。MAC運(yùn)算的DES密鑰采用動(dòng)態(tài)密鑰，在每天建立連接簽到時(shí)，由銀行動(dòng)態(tài)分配。密鑰采用加密傳輸，敏感數(shù)據(jù)加密處理。企業(yè)內(nèi)部自助轉(zhuǎn)帳終端與企業(yè)轉(zhuǎn)帳前置機(jī)之間采用DES加密，MD5數(shù)字簽名，動(dòng)態(tài)密鑰。持卡人的銀行卡密碼由PSAM卡進(jìn)行金融標(biāo)準(zhǔn)的PIN加密處理，有效防止密碼外瀉，保護(hù)持卡人和銀行利益。屏蔽企業(yè)網(wǎng)內(nèi)的對(duì)銀行攻擊企業(yè)轉(zhuǎn)帳前置機(jī)采用雙網(wǎng)卡，通過(guò)雙網(wǎng)段的IP地址進(jìn)行邏輯網(wǎng)段隔離。關(guān)閉轉(zhuǎn)帳前置機(jī)的IP轉(zhuǎn)發(fā)路由功能，企業(yè)網(wǎng)內(nèi)部的數(shù)據(jù)只能到達(dá)轉(zhuǎn)帳前置機(jī)的A網(wǎng)卡，而無(wú)法通過(guò)前置機(jī)的B網(wǎng)卡到達(dá)銀行前置機(jī)。這樣就屏蔽了企業(yè)網(wǎng)內(nèi)部的攻擊。企業(yè)轉(zhuǎn)帳前置機(jī)關(guān)閉遠(yuǎn)程管理維護(hù)功能，避免對(duì)其攻擊，必要時(shí)可以采用軟件防火墻。屏蔽企業(yè)前置機(jī)對(duì)銀行內(nèi)部的攻擊銀行的前置機(jī)同樣采用雙網(wǎng)卡，關(guān)閉IP轉(zhuǎn)發(fā)路由功能，這樣就阻止了攻擊數(shù)據(jù)到達(dá)銀行網(wǎng)絡(luò)內(nèi)部，所有來(lái)自企業(yè)端（專(zhuān)線(xiàn)）的數(shù)據(jù)僅能到達(dá)1網(wǎng)卡，不能通過(guò)前置機(jī)的2網(wǎng)卡進(jìn)入銀行內(nèi)部網(wǎng)絡(luò)。銀行前置機(jī)關(guān)閉遠(yuǎn)程登錄等功能，防止非法遠(yuǎn)程登錄。銀行前置機(jī)只能響應(yīng)規(guī)定好的轉(zhuǎn)帳交易。 卡片的安全設(shè)計(jì)系統(tǒng)的安全，起點(diǎn)是管理。針對(duì)安全性目標(biāo)，系統(tǒng)對(duì)制卡、發(fā)卡、掛失、補(bǔ)卡、銷(xiāo)卡、黑名單管理等一系列業(yè)務(wù)流程制定了一套嚴(yán)密完整的制度和管理辦法，以保證企業(yè)卡的安全可靠性，保證業(yè)主商戶(hù)、企業(yè)和持卡人的利益不受侵犯?？ㄆ陌踩瓌t216。 應(yīng)用中采用一卡一密、防止被盜濫用。216。 加入專(zhuān)用標(biāo)識(shí)，采用專(zhuān)用算法，有效地防止偽卡。216。 采用DES混合算法，形成一套有效的卡片密鑰管理機(jī)制。216。 采用公共、獨(dú)立的信息共享區(qū)，形成一種統(tǒng)一而又分而治之的數(shù)據(jù)管理策略。216。 對(duì)系統(tǒng)內(nèi)卡片采用分類(lèi)管理，授予不同權(quán)限和功能，增強(qiáng)安全性。密鑰的安全系統(tǒng)采用標(biāo)準(zhǔn)的算法與加密方案對(duì)交易數(shù)據(jù)及IC卡進(jìn)行認(rèn)證，而加解密鑰的核心就是密鑰。支付平臺(tái)和POS終端的密鑰管理都由專(zhuān)業(yè)的加密機(jī)來(lái)完成，采用分級(jí)密鑰管理體系最大限度的保證密鑰產(chǎn)生和分發(fā)的安全性。密鑰系統(tǒng)主要功能包括三部分：密鑰生成、密鑰發(fā)行、密鑰更新。按照這個(gè)劃分，密鑰管理系統(tǒng)包括三個(gè)子系統(tǒng)：密鑰生成子系統(tǒng)、密鑰發(fā)行子系統(tǒng)、密鑰更新子系統(tǒng)。密鑰生成一般采用集中方式產(chǎn)生，即由項(xiàng)目的最高管理機(jī)構(gòu)產(chǎn)生系統(tǒng)所需的各種主密鑰組，其它密鑰由該組密鑰分散產(chǎn)生。密鑰的發(fā)行采用梯級(jí)方式，即由上一級(jí)生成下一級(jí)所需的子密鑰，既便每一級(jí)密鑰泄露后，只影響該級(jí)密鑰，而不會(huì)由此造成平級(jí)或上級(jí)的密鑰也泄露。密鑰更新作為密鑰管理系統(tǒng)的重要組成部分，提供對(duì)系統(tǒng)密鑰泄露后的補(bǔ)救措施。系統(tǒng)通過(guò)設(shè)置分級(jí)管理來(lái)保障操作安全性；通過(guò)“一卡多密”實(shí)現(xiàn)了卡片的安全。持卡人利益的保證216。 杜絕惡性透支。216。 掛失實(shí)時(shí)生效。216。 實(shí)時(shí)更新黑白名單。216。 密碼限額：大額消費(fèi)啟用個(gè)人密碼。216。 個(gè)人密碼保密：在系統(tǒng)上操作員看不到持卡人的個(gè)人密碼，保障了持卡人的權(quán)利。 數(shù)據(jù)的安全設(shè)計(jì)數(shù)據(jù)的安全保護(hù)主要從以下幾個(gè)方面來(lái)保證：數(shù)據(jù)傳輸?shù)陌踩?、?shù)據(jù)存儲(chǔ)的安全及數(shù)據(jù)異地容災(zāi)和備份。數(shù)據(jù)傳輸?shù)陌踩髽I(yè)一卡通系統(tǒng)從傳輸平臺(tái)方面，既支持公網(wǎng)也支持專(zhuān)網(wǎng)，科學(xué)合理地在物理或邏輯上隔離企業(yè)一卡通網(wǎng)絡(luò)，給企業(yè)一卡通系統(tǒng)設(shè)計(jì)一個(gè)安全、可靠、暢通的傳輸交換平臺(tái)。從傳輸協(xié)議方面，采用金融報(bào)文交換格式ISO8583標(biāo)準(zhǔn)，經(jīng)過(guò)MD5數(shù)字簽名、DES、RSA等加密措施，防止非法截取、篡改、破譯。所有接入都采用動(dòng)態(tài)密鑰進(jìn)行簽到、簽退。對(duì)于在企業(yè)網(wǎng)上傳輸?shù)闹匾獢?shù)據(jù)，系統(tǒng)直接采用SCOKET底層編程，在數(shù)據(jù)發(fā)送和接收時(shí)都采用數(shù)字簽名，保證不被更改。交易安全系統(tǒng)通過(guò)黑白名單管理、數(shù)字簽名和雙向認(rèn)證實(shí)現(xiàn)了交易的安全。數(shù)據(jù)存儲(chǔ)的安全1）操作系統(tǒng)、數(shù)據(jù)庫(kù)方面216。 操作系統(tǒng)采用微軟專(zhuān)用服務(wù)器操作系統(tǒng)，保障操作系統(tǒng)的穩(wěn)定性和可靠性。216。 數(shù)據(jù)庫(kù)采用微軟大型SLQ2008數(shù)據(jù)庫(kù)，訪問(wèn)控制共有三種：系統(tǒng)驗(yàn)證、網(wǎng)絡(luò)驗(yàn)證、數(shù)據(jù)庫(kù)驗(yàn)證。2）終端存儲(chǔ)數(shù)據(jù)保護(hù)方面216。 對(duì)于消費(fèi)終端來(lái)說(shuō)，采用了Flash ROM技術(shù)保障在出現(xiàn)異常的情況下，進(jìn)行無(wú)源存儲(chǔ)數(shù)據(jù)保護(hù)，保證數(shù)據(jù)掉電不丟失。216。 對(duì)于現(xiàn)金充值機(jī)、自助終端等設(shè)備也同樣采用了通用的Flash ROM技術(shù)，保證數(shù)據(jù)掉電不丟失。數(shù)據(jù)備份與容災(zāi)216。 在數(shù)據(jù)庫(kù)服務(wù)器的數(shù)據(jù)備份與容災(zāi)方面，采用雙機(jī)熱備的方式：采用2臺(tái)數(shù)據(jù)服務(wù)器，通過(guò)雙機(jī)冗余軟件實(shí)現(xiàn)2臺(tái)數(shù)據(jù)服務(wù)器的冗余設(shè)計(jì)，確保1臺(tái)數(shù)據(jù)服務(wù)器發(fā)生故障的時(shí)候,另一臺(tái)服務(wù)器能緊接著取代，保障系統(tǒng)的安全運(yùn)行。同時(shí)連接一臺(tái)磁盤(pán)陣列，并在活動(dòng)服務(wù)器連接上磁帶庫(kù)作為備份系統(tǒng)。備份可以通過(guò)Veritas的Netbackup實(shí)現(xiàn)高度自動(dòng)化的熱備份即實(shí)時(shí)備份，在遇到系統(tǒng)出現(xiàn)不穩(wěn)定及災(zāi)難性崩潰時(shí)，能使“企業(yè)一卡通”里的各種數(shù)據(jù)及時(shí)可以恢復(fù)。 設(shè)備的安全設(shè)計(jì)每一臺(tái)消費(fèi)終端設(shè)備在出廠的時(shí)候都具有唯一的MAC，防止出現(xiàn)設(shè)備重復(fù)，另外，在消費(fèi)終端投入使用的時(shí)候，必須經(jīng)過(guò)系統(tǒng)認(rèn)證卡進(jìn)行POS機(jī)分組，定義相應(yīng)的設(shè)備號(hào)，指定相應(yīng)的通訊地址，并且連通系統(tǒng)后，獲得相應(yīng)的密鑰才能夠投入使用，否則無(wú)法進(jìn)行使用。消費(fèi)終端在進(jìn)行完分組后，在沒(méi)有系統(tǒng)卡的情況下是不能夠被刪除或者更換用戶(hù)組的，同時(shí)業(yè)主也不能夠被刪除，系統(tǒng)卡是有密碼保護(hù)的，這樣可以保障設(shè)備的安全使用。系統(tǒng)通過(guò)“硬件授權(quán)，多級(jí)保護(hù)”實(shí)現(xiàn)了終端設(shè)備安全。／授權(quán)雙向認(rèn)證 產(chǎn)品具有特定的注冊(cè)／授權(quán)雙向互認(rèn)功能，防止非法產(chǎn)品入網(wǎng)流通使用。 可設(shè)置多類(lèi)不同的使用場(chǎng)所，授予不同權(quán)限，滿(mǎn)足不同消費(fèi)對(duì)象或若干下屬獨(dú)立核算單位的 類(lèi)別管理。嚴(yán)密的有效期識(shí)別功能，能有效的防止過(guò)期卡片使用。、黑卡報(bào)警功能終端機(jī)廣泛使用黑、白名單技術(shù)，對(duì)卡片進(jìn)行合法性驗(yàn)證，并記錄非法卡使用情況，有效防止非法卡片的流通。對(duì)黑卡以及各種非法卡使用狀態(tài)，本機(jī)將自動(dòng)識(shí)別并提示相應(yīng)的報(bào)警代碼，提示工作人員采取相應(yīng)措施處理，防止其流通使用?？蛇x使用，可設(shè)置消費(fèi)與個(gè)人密碼使用的對(duì)應(yīng)關(guān)系。 操作員可設(shè)置鍵盤(pán)鎖定與開(kāi)鎖。POS終端保存消費(fèi)明細(xì)和該消費(fèi)明細(xì)的消費(fèi)交易認(rèn)證碼。進(jìn)行數(shù)據(jù)采集時(shí)，將消費(fèi)明細(xì)和消費(fèi)交易認(rèn)證碼一起上傳，結(jié)算中心可以對(duì)該消費(fèi)交易認(rèn)證碼進(jìn)行校驗(yàn)，以保證消費(fèi)數(shù)據(jù)的真實(shí)性和完整性。 物理的安全產(chǎn)品保障方面：保證產(chǎn)品采購(gòu)、運(yùn)輸、安裝等方面的安全。數(shù)據(jù)中心的建設(shè)：數(shù)據(jù)中心機(jī)房應(yīng)設(shè)立在防水、防火、防盜的場(chǎng)所，環(huán)境溫度濕度穩(wěn)定，清潔。在電源保障方面：POS機(jī)可以采用UPS集中供電方式，同時(shí)設(shè)備還具備后備電池，保障在臨時(shí)出現(xiàn)斷電的情況下，不影響飯?zhí)玫恼＿\(yùn)營(yíng)。規(guī)章制度的建設(shè)：系統(tǒng)運(yùn)行與管理需要建立嚴(yán)格的規(guī)章制度，機(jī)房的管理人員必須嚴(yán)格按照操作手冊(cè)和運(yùn)行規(guī)范來(lái)進(jìn)行日常的操作，數(shù)據(jù)備份，系統(tǒng)檢測(cè)。 密鑰管理體系設(shè)計(jì)系統(tǒng)采用標(biāo)準(zhǔn)的算法與加密方案對(duì)交易數(shù)據(jù)及企業(yè)卡進(jìn)行認(rèn)證，而加解密鑰的核心就是密鑰。系統(tǒng)通過(guò)采用自主私密算法、報(bào)文加密和報(bào)文驗(yàn)證以及負(fù)載均衡技術(shù)和群集技術(shù)等手段保障數(shù)據(jù)的安全可靠。密鑰管理體系中的密鑰通常是分類(lèi)規(guī)劃與使用的，“一卡通”系統(tǒng)使用的密鑰有：系統(tǒng)根密鑰；也稱(chēng)A、B密鑰。通信密鑰：終端設(shè)備、子系統(tǒng)與數(shù)據(jù)中心數(shù)據(jù)傳輸加密密鑰。系統(tǒng)工作密鑰：系統(tǒng)認(rèn)證密鑰，用戶(hù)于完成對(duì)系統(tǒng)設(shè)備的初始化和認(rèn)證使用，同時(shí)配置使用密碼，最大程度上保證系統(tǒng)的安全；銀行轉(zhuǎn)賬系統(tǒng)相關(guān)密鑰（與銀行交換數(shù)據(jù)密鑰、持卡人銀行敏感數(shù)據(jù)加密密鑰）；卡片相關(guān)密鑰（扇區(qū)種子密鑰、卡片扇區(qū)密鑰、卡片交易密鑰），由以上密鑰組成“一卡通”系統(tǒng)的密鑰體系。密鑰系統(tǒng)主要功能包括三部分：密鑰生成、密鑰發(fā)行、密鑰更新。按照這個(gè)劃分，密鑰管理系統(tǒng)包括三個(gè)子系統(tǒng)：密鑰生成子系統(tǒng)、密鑰發(fā)行子系統(tǒng)、密鑰更新子系統(tǒng)。密鑰生成一般采用集中方式產(chǎn)生，即由項(xiàng)目的最高管理機(jī)構(gòu)產(chǎn)生系統(tǒng)所需的各種主密鑰組，其它密鑰由該組密鑰分散產(chǎn)生。密鑰的發(fā)行采用梯級(jí)方式，即由上一級(jí)生成下一級(jí)所需的子密鑰，既便每一級(jí)密鑰泄露后，只影響該級(jí)密鑰，而不會(huì)由此造成平級(jí)或上級(jí)的密鑰也泄露。密鑰更新作為密鑰管理系統(tǒng)的重要組成部分，提供對(duì)系統(tǒng)密鑰泄露后的補(bǔ)救措施。 系統(tǒng)糾錯(cuò)能力216。 正常情況下，所有的消費(fèi)流水回傳到數(shù)據(jù)中心，同時(shí)在消費(fèi)終端上保存有交易流水紀(jì)錄和在卡片上保存有寫(xiě)卡流水記錄，這些交易記錄可以和后臺(tái)數(shù)據(jù)中心數(shù)據(jù)進(jìn)行對(duì)比，當(dāng)出現(xiàn)網(wǎng)絡(luò)不通時(shí)，交易流水暫時(shí)保存在終端上，消費(fèi)終端中也保存有交易流水記錄，可以通過(guò)菜單查詢(xún)和匯總進(jìn)行對(duì)帳，當(dāng)網(wǎng)絡(luò)暢通時(shí)，再回傳流水，當(dāng)出現(xiàn)網(wǎng)絡(luò)故障時(shí)，消費(fèi)終端可以通行設(shè)備強(qiáng)制“簽到”進(jìn)行脫機(jī)消費(fèi)，交易流水保存在消費(fèi)終端內(nèi)，當(dāng)網(wǎng)絡(luò)恢復(fù)是數(shù)據(jù)正常回傳進(jìn)行對(duì)帳。216。 萬(wàn)一出現(xiàn)設(shè)備損壞，而且交易流水又沒(méi)有正常回傳的情況下，可通過(guò)專(zhuān)用的數(shù)據(jù)采集工具，將設(shè)備中的數(shù)據(jù)導(dǎo)入系統(tǒng)，系統(tǒng)進(jìn)行自動(dòng)核對(duì)后完成自動(dòng)對(duì)帳，保障業(yè)主和消費(fèi)者的利益不受到損失，同時(shí)保障系統(tǒng)帳務(wù)和數(shù)據(jù)的準(zhǔn)確。216。 萬(wàn)一出現(xiàn)交易流水沒(méi)有正?；貍鳎到y(tǒng)必須具有卡庫(kù)對(duì)帳機(jī)制。交易流水是由卡號(hào)、脫機(jī)序號(hào)、聯(lián)機(jī)序號(hào)、灰記錄標(biāo)識(shí)、卡余額、交易額、交易日期、時(shí)間等相關(guān)的信息組成的。216。 當(dāng)消費(fèi)POS機(jī)壞了，造成數(shù)據(jù)丟失，則系統(tǒng)有的嚴(yán)格的查帳機(jī)制。當(dāng)系統(tǒng)進(jìn)行日結(jié)時(shí)發(fā)現(xiàn)上傳流水的流水號(hào)不連續(xù)，則后臺(tái)中心數(shù)據(jù)庫(kù)進(jìn)行流水號(hào)的檢測(cè)工作，當(dāng)持卡人去消費(fèi)貼卡時(shí)，POS機(jī)檢測(cè)到此卡片有未上傳的流水，系統(tǒng)會(huì)自動(dòng)將檢測(cè)到的片內(nèi)的消費(fèi)流水信息即時(shí)回傳到企業(yè)卡后臺(tái)，再由后